Veel organisaties die Role Based Access Control (RBAC) in willen voeren weten niet waar ze moeten beginnen. Om alle medewerkers in een bepaalde functie – inclusief autorisaties – te vatten, is inderdaad een complexe en tijdrovende klus. De basis van RBAC kan echter vrij snel worden ingericht op basis van een aantal bronnen dat aanwezig is binnen de organisatie. Die bronnen zijn:
1 Het HR-systeem
Wanneer organisaties beginnen met het invoeren van RBAC kunnen zij het beste eerst kijken naar de bestaande hiërarchie binnen de organisatie. Op basis van de hiërarchie kunnen de basisrollen worden vastgesteld. De hiërarchie is vaak aanwezig in het HR-systeem in de vorm van organisatie-eenheden of kostenplaatsen. Dit geeft een stabiele basis om de rollen binnen een organisatie vast te leggen, maar voldoet helaas niet voor alle branches. Bijvoorbeeld wanneer werknemers op meerdere locaties werken of wanneer er in zelfsturende teams wordt gewerkt, zoals in de zorgsector.
2 Roosterpakket
Nadat de basisrollen aan de hand van het HR-systeem zijn bepaald, kan worden gekeken naar aanwezige roosterpakketten. In de zorg zijn dat bijvoorbeeld Ortec, Harmonie, en Cura rooster. In het onderwijs Magister, SOM, Zermelo en GP Untis. En voor andere markten kan worden gekeken naar het ERP-systeem of de financiële systemen. Uit het roosterpakket worden de dagelijkse autorisaties duidelijk. De relatie tussen de zorgverlener en patiënt of docent en leerling staat hierin, waardoor bekend is welke autorisaties de zorgverlener of docent nodig heeft om zijn werk te kunnen doen. Hiermee kan per rol in beeld worden gebracht welke autorisaties nodig zijn.
3 Flexpool
Naast de medewerkers die via het HR-systeem en roosterpakket de juiste rollen toegewezen kunnen krijgen, is er binnen organisaties vaak een flexpool aanwezig. Zorgverleners of docenten in de flexpool hebben meestal overal toegang toe. Dit is ongewenst uit het oogpunt van informatiebeveiliging. Voor flexibel inzetbare medewerkers is het handig om het toekennen van autorisaties neer te leggen bij de organisatie zelf, bijvoorbeeld door het gebruik van een self-service portaal. Managers of de medewerker kunnen met een self-service portaal zelf de benodigde autorisaties aanvragen en afnemen voor zichzelf of voor anderen. Deze vorm van het toekennen van autorisaties wordt ook wel Claim Based Access Controle (CBAC).
Door de rollen binnen een organisatie vast te stellen met deze natuurlijke bronnen ontstaat er een dynamisch systeem dat om kan gaan met uitzonderingen. Daarnaast worden alle acties gelogd, waardoor inzichtelijk is wie welke rechten heeft of wie welke rechten aan wie heeft toegekend.
Arnout van der Vorst (a.van.der.vorst@tools4ever.com) is Identity Management Architect bij Tools4ever, expert in Identity & Access Management (www.tools4ever.nl)
